Google Chrome gaat tls-certificaten van Camerfirma blokkeren
Google gaat vanaf Chrome 90 tls-certificaten van certificaatautoriteit Camerfirma blokkeren. Aanleiding is een lange reeks van overtredingen door de certificaatautoriteit die teruggaan tot maart 2017. Zo heeft Camerfirma certificaten voor een niet geregistreerd domein uitgegeven en verstrekte het een certificaat met een verkeerde organisatienaam. Ook had de certificaatautoriteit twee sub-certificaatautoriteiten die het vrij spel gaf en niet controleerde, terwijl de regels voor certificaatautoriteiten dit verplichten.
Volgens Ryan Sleevi van Google is er sprake van "systemisch falen", net zoals bij Symantec het geval was. Daarvan besloot Google ook de certificaten te blokkeren. Volgens Sleevi heeft Camerfirma herhaaldelijk zelfs de meest basale verwachtingen van een certificaatautoriteit niet waar kunnen maken en de tekortkomingen niet gedetecteerd. "We zien een falen van zowel Camerfirma als diens ondergeschikten om problemen tijdig te detecteren en melden, en een falen om systemen te ontwerpen die robuust genoeg zijn om snel actie te ondernemen", merkt Sleevi op.
Certificaatautoriteiten geven tls-certificaten uit die voor versleutelde verbindingen en identificatie van websites worden gebruikt. Fouten door deze partijen kunnen dan ook grote gevolgen hebben. Volgens Sleevi wil Camerfirma de ernst van de problemen niet erkennen, ondanks dat het al jaren de eisen voor certificaatautoriteiten niet goed heeft geïmplementeerd.
Google heeft daarom besloten om vanaf Chrome 90, die op 13 april moet verschijnen, certificaten van Camerfirma te blokkeren. Bij het bezoeken van websites met Camerfirma-certificaten krijgen gebruikers een waarschuwing dat het certificaat is ingetrokken. Deze waarschuwing kan niet worden genegeerd, wat inhoudt dat gebruikers de website niet kunnen bezoeken. Of andere browserontwikkelaars zullen volgen is op dit moment nog niet bekend, maar het ligt in de lijn der verwachting. Bij soortgelijke incidenten in het verleden kwamen browserontwikkelaars vaak tot dezelfde conclusie.
Dus opruimen die hap ....wat veiligheid betreft .
en toch weer een goede stap van google van daar dat ik steeds weer uit kom op google...helaas maar weer een stuk je veilig
heid goed bezig google..........en maar af geven op google..........
Nou nog wakker worden.....gebruikers?
Die is er al lang voor Chrome en Safari op de mac. Daar zitten geen certificaten in de browser. Het OS verzorgt daar de certificaten.
Op de Mac staan er 4 root certificaten van Camerfirma op. Ik moest even flink zoeken omdat ze anders heten en een zoekopdracht met "Camerfirma" niets opleverde.
2x "Cambers of Commerce Root"
2x "Global Chambersign root"
Die is er al lang voor Chrome en Safari op de mac.
Windows heeft ook een eigen certificate store. Maar wordt die wel gebruikt? Door Firefox niet, in ieder geval.
Chrome volgens mij wel. Maar daar zal dan wel weer een eigen additionele lijst overheen liggen ofzo.
Europa zit te slapen.
Na installatie van software/hardware wordt er vaak een zogenaamde hardening gedaan om de installatie nog veiliger te maken. Dit is het "goed & veilig zetten" van de instellingen, niet gebruikte modules deactiveren, etc...
Het opschonen van de root en intermediate CA's zit hier ook in.
De meeste westerse bedrijven komen echt niet in aanraking met certificaten uitgegeven door een Chinese CA, dus is er geen reden om deze te houden. Indien nodig kunnen ze nog steeds opnieuw terug toegevoegd worden.
Het onvoorwaardelijk vertrouwen van een root CA en daardoor ook alle onderliggende is echt geen goede security strategie.
Voor eindgebruikers die louter een "werkende" omgeving willen, is dit natuurlijk een makkelijke oplossing, en gebeurt er geen hardening. Een dergelijke manier van werken hoort echter niet gebruikt te worden in een beveiligde omgeving...
Dus opruimen die hap ....wat veiligheid betreft .
en toch weer een goede stap van google van daar dat ik steeds weer uit kom op google...helaas maar weer een stuk je veilig
heid goed bezig google..........en maar af geven op google..........
Wie beheert jou computer?
Doe je dat zelf? Of verwacht je dat Google dat voor jou doet?
Als admin op je computer kan jij zelf de certificate store beheren en bepalen welke certificaten jij wel of niet vertrouwt.
Dit kan individueel voor je O.S, je Webbrowser, je Java installatie, je Linux software repositories, etc...
Na installatie van software/hardware wordt er vaak een zogenaamde hardening gedaan om de installatie nog veiliger te maken. Dit is het "goed & veilig zetten" van de instellingen, niet gebruikte modules deactiveren, etc...
Het opschonen van de root en intermediate CA's zit hier ook in.
De meeste westerse bedrijven komen echt niet in aanraking met certificaten uitgegeven door een Chinese CA, dus is er geen reden om deze te houden. Indien nodig kunnen ze nog steeds opnieuw terug toegevoegd worden.
Als je dat zou willen dan mogen ze toch wel eerst eens beginnen met voor ieder OS een enkele certificate store te
gebruiken die verplicht door alle geinstalleerde browsers geraadpleegd wordt en waar fatsoenlijke beheer tools voor
zijn om deze onafhankelijk van de browsers bij te werken en er eventueel door de lokale betweter certificaten in te
laten disablen.
Als iedere browserfabrikant dat zelf oppakt en niet eens tooling levert voor wat je daar omschrijft dan is het uiteraard
niet werkbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
